X-Force Índice de inteligencia de amenazas

X-Force Índicede inteligenciade amenazas2021

03

05

07

14

18

20

22

26

28

47

48

49

Índice

Introducción

Resumen ejecutivo

Principales ataques de 2020

Actores de amenazas avanzadas

Amenazas para TO y SCI

Principales marcas suplantadas

Nuevas amenazas de malware

Ciberdelito financeiro

Tendencias por geografía e indústria

Mirando hacia el futuro

Recomendaciones para resiliencia

Acerca de IBM Security X-Force

Contribuidores 50

2

3

El año 2020 fue, sin duda, uno de los más trascendentales y transformacionales de los últimos tiempos: una pandemia global, turbulencias económicas que afectan a la vida de millones de personas y disturbios sociales y políticos. Las repercusiones de estos acontecimientos afectaron a las empresas profundamente, y muchos hicieron un gran cambio hacia una fuerza laboral distribuida.

El año terminó como empezó, con el descubrimiento de una amenaza de consecuencias mundiales que requería respuesta y remediación rápidas. Un ataque que fundamentalmente ha sido atribuido a un actor de un estado nación, que ha aprovechado una puerta trasera en el software de supervisión de red para atacar a organizaciones gubernamentales y del sector privado, demostró cómo el riesgo de terceros debe ser anticipado, aunque no se pueda predecir.

Para ayudar a superar los retos de estos tiempos, IBM Security X-Force evalúa el panorama de las ciberamenazas y ayuda a las organizaciones a comprender la evolución de las amenazas, su riesgo asociado y la manera de priorizar los esfuerzos de ciberseguridad. Además de la inteligencia de amenazas de primera calidad que proporcionamos a los clientes, analizamos la gran cantidad de datos que recopilamos para producir el X-Force Índice de inteligencia de amenazas, un registro anual del panorama de amenazas y cómo estas están cambiando.

Entre las tendencias que hemos rastreado, el ransomware continuó aumentando hasta convertirse en el tipo de amenaza número uno, representando el 23 % de los incidentes de seguridad a los que respondió X-Force en 2020. Los atacantes de ransomware aumentaron la presión para exigir el pago, combinando la encriptación de datos con las amenazas de filtrar los datos en sitios públicos. El éxito de estas estratagemas ayudó a una sola pandilla de ransomware a lograr ganancias de más de 124 millones de dólares en 20201, según estimaciones de X-Force.

Las organizaciones manufactureras han resistido una embestida del ransomware y otros ataques en 2020. La industria manufacturera en general fue la segunda más atacada, después de la de finanzas y la de seguros, habiendo sido la octava industria más atacada en 2019. X-Force descubrió que los atacantes sofisticados usan campañas de spear phishing (phishing de objetivo definido) en ataques contra empresas manufactureras y las organizaciones no gubernamentales que participan en la cadena de suministro de la vacuna contra la COVID-19.

1. Todos los costos totales en el informe están en dólares estadounidenses.

Introducción

https://securityintelligence.com/posts/update-widespread-supply-chain-compromise/

https://securityintelligence.com/posts/ibm-uncovers-global-phishing-covid-19-vaccine-cold-chain/

4

Los actores de amenazas fueron también innovando su malware, especialmente el malware destinado a Linux, el software de código abierto que brinda soporte a la infraestructura en la nube y al almacenamiento de datos críticos para los negocios. Un análisis realizado por Intezer descubrió 56 nuevas familias de malware de Linux en 2020, mucho más que el nivel de innovación encontrado en otros tipos de amenazas.

No hay motivos para esperar que el año 2021 sea mejor. Las tendencias son notoriamente difíciles de predecir, pero la única cosa constante en la que podemos confiar es en el cambio. La resiliencia frente al aumento y la reducción de desafíos en la ciberseguridad requiere una inteligencia procesable y una visión estratégica para el futuro de una seguridad conectada y más abierta.

Bajo el espíritu de fortalecimiento a través de la comunidad, IBM Security se complace en ofrecer X-Force Índice de inteligencia de amenazas 2021. Las conclusiones de este informe pueden ayudar a los equipos de seguridad, profesionales del riesgo, tomadores de decisiones, investigadores, medios de comunicación y otros, a comprender dónde han estado las amenazas el pasado año y a prepararse para lo que venga.

Introducción

4

5

Resumen ejecutivo

IBM Security X-Force se basó en miles de millones de puntos de datos recopilados de fuentes públicas y nuestros clientes entre enero y diciembre de 2020 para analizar los tipos de ataques, los vectores de infección y las comparaciones globales y entre industrias. Los siguientes son algunos de los principales hallazgos presentados en el X-Force Índice de inteligencia de amenazas.

23 % Ataques de ransomware El ransomware fue el método de ataque más popular en 2020, constituyendo el 23 % de todos los incidentes de seguridad a los que IBM Security X-Force respondió y ayudó a remediar.

Más de USD 123 millones Ganancias estimadas por el ransomware principalX-Force calcula, de manera conservadora, que tan solo los actores de ransomware de Sodinokibi (también conocido como REvil) obtuvieron por lo menos USD 123 millones en ganancias en 2020 y robaron alrededor de 21,6 terabytes de datos.

25 %Proporción de ataques de las principales vulnerabilidades durante el primer trimestre de 2020 Los maleantes aprovecharon una vulnerabilidad de path traversal de Citrix, explotando esta vulnerabilidad en el 25 % de todos los ataques en los primeros tres meses del año y un 8 % del total de ataques en todo el año 2020.

35 % Porcentaje de escaneo y explotación de los principales vectores de infección El escaneo y explotación de vulnerabilidades pasó a ser el principal agente de infección en 2020, superando al phishing (suplantación de identidad), que fue el principal vector en 2019.

#2 La industria manufacturera fue la segunda industria más atacada en 2020, superando el octavo lugar de 2019, solo después de los servicios financieros La industria manufacturera fue la segunda industria más atacada en 2020, superando el octavo lugar de 2019, solo después de los servicios financieros.

6

5 horas Duración de los videos de capacitación de ataque en un servidor de grupo de amenazas Los errores operacionales de los atacantes del estado nación iraní permitieron a los investigadores de X-Force descubrir alrededor de 5 horas de video en un servidor mal configurado, lo que les permitió conocer sus técnicas.

Más de 100 Ejecutivos atacados en campaña de phishing de precisión A mediados de 2020, X-Force descubrió una campaña global de phishing que llegó a más de 100 ejecutivos de alto rango en puestos de adquisiciones y gerencia de un grupo de trabajo encargado de adquirir equipos de protección personal (EPP) en la batalla contra laCOVID-19.

49 % Índice de crecimiento de vulnerabilidades relacionadas con SCI, 2019-2020 Las vulnerabilidades relacionadas a los sistemas de control industrial (SCI) descubiertas en 2020 fueron un 49 % mayores en comparación con 2019.

56Número de nuevas familias de malware de Linux El número de nuevas familias de malware relacionadas con Linux descubiertas en 2020 fue de 56, su nivel más alto en la historia. Esto representó un incremento del 40 % con respecto al 2019.

31 %European share of attacks Europa fue la región más atacada en 2020, registrando el 31 % de los ataques observados por X-Force, seguida de América del Norte (27 %) y Asia (25 %).

Resumen ejecutivo

7

Entender el escenario de los ataques puede ayudar a los equipos de seguridad en la priorización de los recursos, en la búsqueda de los escenarios más probables y en identificar los cambios en las técnicas de los atacantes.

Las siguientes subsecciones proporcionarán conocimientos sobre las principales tendencias de ataque que X-Force identificó en 2020: el ransomware es indudablemente el tipo de ataque predominante, seguido de lejos por el robo de datos y los ataques de acceso al servidor. En términos de vectores de ataque inicial, el escaneo y explotación subió al primer lugar en 2020, seguido por el phishing y el robo de credenciales.2

Los 3 principales tipos de ataque

1. Ransomware (23 % de los ataques)

2. Robo de datos (incremento del 160 %desde 2019)

3. Acceso de servidor (incremento del 233 % desde 2019)

Los 3 principales vectores de ataque inicial

1. Escaneo y explotación (35 % de losataques vs. 30 % en 2019)

2. Phishing (33 % de los ataques vs. 31 % en 2019)

3. Robo de credenciales (18 % de los ataques vs. 29 % en 2019)

Figura 1

Principales tipos de ataques, 2020 vs. 2019 Desglose de los tipos de ataque en 2019 frente a 2020, mostrado como porcentaje de ataques totales observados (Fuente: IBM Security X-Force)

2. Las palabras “ataques” e “incidentes¬” son usadas indistintamente en este informe. Un incidente se refiere a una llamada realizada por una organización a la línea directa del equipo de X-Force Incident Response, que genera la investigación o resolución de un ataque o sospecha de ataque.


8

El negocio del ransomware está en expansión

Los ataques de ransomware constituyen el 23 % de todos los incidentes observados en las interacciones de X-Force en 2020, un aumento del 20 % con respecto al año anterior, lo que sugiere que más ciberdelincuentes descubren que el ransomware es rentable

Los maleantes llevan a cabo ataques de ransomware predominantemente al acceder a los entornos de la víctima a través del protocolo de escritorio remoto, el robo de credenciales o el phishing, que son los vectores de ataque que han sido igualmente explotados para instalar ransomware en años anteriores.

Los maleantes que emplean ransomware están teniendo un mayor éxito en los ataques mediante la ampliación de su cadena de ataque. Los más exitosos grupos de ransomware que observó X-Force en 2020 se centraron en la creación de carteles de ransomware como servicio (RaaS) y la externalización de los aspectos clave de sus operaciones a los ciberdelincuentes que se especializan en diferentes aspectos de un ataque.

Cincuenta y nueve por ciento de los ataques de ransomware utilizan una doble estrategia de extorsión, según los datos de X-Force Incident Response. Debido a que las organizaciones pueden optar por recuperarse a partir de copias de seguridad y no pagar el rescate, los atacantes han cambiado de táctica no solo para cifrar datos y hacer imposible su acceso. Ellos también los roban, y amenazan con realizar una filtración de datos confidenciales si no se paga un rescate. Algunos proveedores de ransomware incluso realizan subastas en la dark web para vender la información confidencial de sus víctimas.

De hecho, la estimación más conservadora de X-Force coloca los ingresos totales de rescates de Sodinokibi en USD 123 millones en 2020 mediante el uso de estas tácticas de extorsión. Los desarrolladores de ransomware han encontrado fundamentalmente una manera de eludir la dependencia de las organizaciones sobre la copia de seguridad de los datos, ya que pueden usar la amenaza de fugas de datos como ventaja para obtener un pago.

La amenaza de pérdida de reputación debido a la fuga de datos confidenciales tiene el potencial para causar un daño significativo a la empresa y a sus clientes, lo que podría dar lugar a litigios y cuantiosas multas regulatorias, además de los costos de una larga recuperación. Cuando los atacantes de ransomware revelan públicamente los datos confidenciales en sitios de filtración de información, estas infracciones a menudo son captadas por la prensa, aumentando aún más el daño de reputación asociado con estos ataques. El análisis de datos filtrados públicamente de X-Force indica que las fugas de datos relacionados con el ransomware abarcaron el 36 % de las brechas públicas en 2020.

Sodinokibi es el tipo más común de ransomware

Los dos principales tipos de ransomware observados por X-Force en 2020 incluyeron Sodinokibi (22 % de incidentes de ransomware) y Nefilim (11 %) ambos mezclan el robo de datos con ataques de ransomware.

Los tipos de ransomware adicionales observados por X-Force fueron RagnarLocker (7 %), Netwalker (7 %), Maze (7 %), Ryuk (7 %) y EKANS (4 %), mientras que el 42 % restante de los ataques de ransomware abarcó muestras pequeñas de otros tipos como Egregor, CLOP, Medusa y otros.


59 %de los ataquesde ransomware utilizan una doble estrategiade extorsión

Másde USD 123 millonesGanancias estimadas de los operadoresde Sodinokibi en 2020

9

Figura 2

Tipos principales de ransomwareDesglose de porcentajes de tipos de ransomware observados en 2020 (Fuente: IBM Security X-Force)

Debido a que Sodinokibi fue el tipo de ransomware más común que X-Force observó en 2020, reunimos una cantidad considerable de datos e informaciones sobre estos ataques y los rastreamos de cerca, no solo los ataques de Sodinokibi contra los clientes de IBM, sino también todos los ataques denunciados por el grupo.

Surgieron varios patrones a partir de esta investigación:

— Los ataques de ransomware Sodinokibi culminaron en junio o julio de 2020 y luegoaumentaron de nuevo después de una breve tregua en agosto y septiembre, posiblemente relacionada con la disponibilidad de los maleantes, las vacaciones y las obligaciones de empleo alternativo.

— La manufactura, los servicios profesionales y la venta al por mayor fueron los sectores más comúnmente atacados por Sodinokibi, posiblemente porque los maleantes que emplearon Sodinokibi evaluaron que las organizaciones de estas industrias tienen una baja tolerancia al tiempo de inactividad, quizás especialmente durante la pandemia, o almacenan específicamente datos confidenciales. (ver figura 3)

— Las exigencias de rescate de Sodinokibi tienden a ser de alrededor del 1 % al 5 % de los ingresos totales anuales de la organización, y en un caso fue de USD 42 millones.


10


Figura 3

Ataques de ransomware Sodinokibi por industriaDesglose de porcentajes por industria de ataques de ransomware Sodinokibi observados en 2020 (Fuente: IBM Security X-Force)

Ransomware Sodinokibi en cifras Regiones más atacadas

1. Estados Unidos (58 %)

2. Reino Unido (8 %)

3. Australia (5 %)

4. Canadá (3 %)

Ingresos estimadosTotal de 2020: más de USD 123 millones Solo en agosto de 2020: USD 55 millones

Robo de datos total estimado:21,6 terabytes

Casi dos tercios de las víctimas de Sodinokibi en 2020 pagaron un rescate y en alrededor del 43 % de los casos sus datos fueron filtrados, según estimaciones de X-Force.

Recomendaciones para responder a un ataque de ransomware La preparación es esencial: aplique y ponga en práctica un plan de respuesta ante un ataque de ransomware, incluyendo técnicas combinadas de ransomware y extorsión por robo de datos.

Almacene de forma segura las copias de seguridad de datos sin conexión: las copias de seguridad permiten a su organización recuperarse de forma rápida e independiente después de un ataque de ransomware.

Implemente una defensa integral: utilice un enfoque multifacético, como emplear la autenticación multifactor en cada punto de acceso a una red, garantizar la visibilidad del punto terminal, realizar la búsqueda proactiva de amenazas, llevar a cabo pruebas de penetración regulares para identificar los puntos débiles en la red y reparar y mitigar rápidamente las vulnerabilidades conocidas.

La guía definitiva para el Ran Regístrese para descargar el documento informativo to download the whitepaper >

https://www.ibm.com/account/reg/us-en/signup?formid=mrs-form-2195

11


Explotación en cifras: CVE-2019-19781

— 59 % de todos los incidentes en enero de 2020

— 25 % de todos los incidentes en el primer trimestre de 2020

— 15 % de todos los incidentes en el primer semestre de 2020

— 8 % del total de incidentes remediados por X-Force en 2020

— Más de 25.000 servidores Citrix vulnerables conocidos

Robo de datos

El robo de datos —o un atacante que sustrae los datos confidenciales de la víctima— representó el 13 % de los ataques remediados por X-Force en 2020, un incremento significativo a partir del 5 % de los ataques en 2019.

Una ráfaga de ataques de malware Emotet en septiembre y octubre de 2020 representó en gran parte el aumento significativo de los ataques de robo de datos. Estos ataques Emotet, que principalmente se realizaron en Asia, constituyeron el 46 % de la actividad de robo de datos remediados por X-Force en 2020.

El sector energético quedó en segundo lugar, con el 21 % de los ataques, y los sectores de finanzas y seguros el tercero, con el 17 % de los ataques de robo de datos. El sector energético se ubicó en segundo lugar, con el 21 % de los ataques, y las áreas de finanzas y seguros en el tercer lugar con el 17 % de los ataques de robo de datos.

Ataques de acceso al servidor0 % de todos los ataques remediados por X-Force Incident Response en 2020. Un ataque de acceso al servidor implica que un maleante obtenga acceso no autorizado a un servidor de la víctima, ya sea mediante la explotación de las credenciales robadas del servidor, la explotación de una vulnerabilidad o por otros medios.

Casi el 36 % de los ataques de acceso al servidor que observó X-Force Incident Response en 2020 se dirigieron al sector financiero y de seguros, siendo que los servicios empresariales (14 %), la industria de manufactura (7 %) y el sector de cuidado de la salud (7 %) también fueron afectados en gran medida.

La explotación exitosa por parte de los maleantes de CVE-2019-19781, una vulnerabilidad de path traversal de Citrix, impulsó la tendencia de ataques de acceso al servidor.

Vulnerabilidad CVE-2019-19781 de Citrix

Los datos de X-Force indican que el 15 % de los incidentes en el primer semestre de 2020 estuvieron directamente relacionados con la vulnerabilidad CVE-2019-19781 de Citrix -más de 15 veces mayor que cualquier otra vulnerabilidad. Esta vulnerabilidad, divulgada en diciembre de 2019, afecta a Citrix Application Delivery Controller (ADC), Citrix Gateway y NetScaler Gateway. La vulnerabilidad permite a un atacante realizar la ejecución de código arbitrario en un servidor Citrix vulnerable.

12


Múltiples grupos aprovechan la vulnerabilidad de Citrix

X-Force tuvo conocimiento de varios grupos de maleantes que se aprovecharon deCVE-2019-19781 en 2020, incluyendo grupos de amenazas patrocinados por el estado, asícomo ciberdelincuentes con motivación financiera. Estos incluyen:

— Hive0088 (AKA APT41; ; se sospecha que está afiliado al estado chino)

— ITG07 (AKA Chafer, presuntamente afiliado al estado iraní)

— Actores que utilizan ransomware Sodinokibi (AKA REvil)

— Maleantes que usan ransomware Maze

Al acceder a sistemas a través de esta vulnerabilidad, en varios casos los atacantes instalaron troyanos de acceso remoto (RAT) como Adwind, implementaron Trickbot y malware intermedio Cobalt Strike e incluso implementaron ransomware Sodinokibi y Maze. Algunos atacantes también lo utilizaron para obtener acceso a las redes para ataques de ransomware.

Las 10 vulnerabilidades más explotadas de 2020

A continuación, se presenta una lista de las 10 principales vulnerabilidades explotadas en 2020. Cabe señalar que solo dos de las vulnerabilidades en esta lista realmente fueron divulgadas en 2020, subrayando la amenaza continua de antiguas vulnerabilidades. A lo largo de 2020, los maleantes fueron más propensos a explotar una vulnerabilidad de 2019 o anterior, probablemente debido a las dificultades asociadas con la explotación de muchas de las vulnerabilidades reveladas en 2020 y la dificultad para reparar vulnerabilidades más antiguas que muchas organizaciones encuentran.

1. CVE-2019-19871: Citrix ApplicationDelivery Controller

2. CVE-2018-20062: NoneCMS ThinkPHPRemote Code Execution

3. CVE-2006-1547: ActionForm in ApacheSoftware Foundation (SAF) Struts

4. CVE-2012-0391: ExceptionDelegatorcomponent in Apache Struts

5. CVE-2014-6271: GNU Bash CommandInjection

6. CVE-2019-0708: “Bluekeep” MicrosoftRemote Desktop Services Remote CodeExecution

7. CVE-2020-8515: Draytek VigorCommand Injection

8. CVE-2018-13382 and CVE-2018-13379: Improper Authorization and PathTraversal in Fortinet FortiOS

9. CVE-2018-11776: Apache Struts RemoteCode Execution

10. CVE-2020-5722: HTTP: GrandstreamUCM6200 SQL Injection

https://exchange.xforce.ibmcloud.com/collection/APT41-Initiates-Global-Intrusion-Campaign-Using-Multiple-Exploits-f70a1623b16a58aca788ec49d75ee8f1

https://exchange.xforce.ibmcloud.com/collection/Observations-of-ITG07-Cyber-Operations-e8d57ae782affef2fab03a6843603a5f

https://www.zdnet.com/article/hackers-target-unpatched-citrix-servers-to-deploy-ransomware/

https://www.shieldx.com/wp-content/uploads/2020/05/ShieldX-Maze-Ransomware-Blog.pdf

13


Principales vectores de infección

Impulsado por la intensa explotación de CVE-2019-19781, el escaneo y explotación de vulnerabilidades saltó al primer lugar como el vector de infección inicial más comúnmente empleado por los maleantes, alcanzando el 35 % de todos los incidentes con un conocido vector3 de ataque remediado por X-Force. En comparación, el escaneo y explotación actuó como un vector de infección en solo el 30 % de los ataques del año anterior.

Los ataques de escaneo y explotación generalmente requieren pocos recursos y pueden ser automatizados y ajustados para una amplia variedad de víctimas, lo que puede explicar por qué este vector registró un volumen tan elevado en 2020. Además de la vulnerabilidad de path traversal de Citrix, los ataques de escaneo y explotación en 2020 incluyeron la focalización de la vulnerabilidad Heartbleed, los protocolos de gestión vulnerables o mal configurados y la explotación de la vulnerabilidad criptográfica CVE-2017-9248.

El phishing fue el segundo vector de infección más comúnmente utilizado, empleado en el 33 % de los ataques, un ligero aumento con respecto al 31 % del año pasado, lo que sugiere que los cambios en las técnicas de los atacantes y los mecanismos de defensa contra el phishing están yendo al mismo ritmo.

El robo de credenciales solo representó el 18 % de los ataques, una caída significativa en comparación al 29 % del año pasado, sugiriendo que los maleantes están utilizando técnicas de escaneo y explotación en lugar del robo de credenciales en muchos ataques en 2020, probablemente debido a las mayores tasas de éxito para los ataques de escaneo y explotación.

Figura 4

Principales vectores de ataque inicialDesglose del porcentaje de siete vectores de ataque inicial observados por IBM Security X-Force Incident Response en 2020 (Fuente: IBM Security X-Force)

3. Varios incidentes no tuvieron un vector de ataque conocido y por lo tanto, no están incluidos en estos datos.

14

A lo largo de 2020, X-Force observó algunos errores operacionales por parte de grupos de maleantes que, sin darse cuenta, mostraron su operación y proporcionaron información valiosa a los investigadores de X-Force. En otros casos, el rastreo de los atacantes que emplean amenazas avanzadas proporcionó una valiosa información sobre las amenazas relacionadas con la COVID-19, incluyendo cómo los maleantes atacan a la distribución de vacunas y continúan aprovechando la pandemia para realizar el phishing.

Grupos de maleantes iraníes descubiertos con las manos en la masa

En septiembre de 2020, los analistas de X-Force descubrieron una infraestructura asociada con la actividad de phishing de Hive0082. Hive0082, también conocido como Silent Librarian, COBALT DICKENS o TA407, ha estado atacando activamente a diversas instituciones académicas mundiales al menos desde 2013, pese a las múltiples revelaciones públicas de su actividad.

La actividad de septiembre de 2020 no difiere en gran medida de las operaciones anteriores; sin embargo, los operadores dejaron metadatos de herramientas utilizadas para falsificar páginas de inicio de sesión válidas de los recursos académicos que fueron atacados. Concretamente, los investigadores de X-Force observaron el uso continuo de una extensión de Chrome de "único archivo" en estas campañas, que puede capturar la marca de tiempo de la máquina que copia un sitio web. Varios de los sitios web falsos utilizados en esta campaña contenían una marca de tiempo del "huso horario de Irán", un probable error del operador Hive0082. (vea la figura 5)

Figura 5

Actividad de phishing de Hive0082Metadatos de la página web falsa de Hive0082 que muestran el huso horario de Irán (Fuente: IBM Security X-Force)

En otro ejemplo, los errores de otro grupo de maleantes patrocinado por el estado iraní que X-Force rastrea como ITG18 proporcionaron información sin precedentes de susoperaciones. El grupo tiene un historial de errores de seguridad operacional,específicamente errores de configuración básica del servidor que en el pasado hangenerado la divulgación de sus víctimas y, en un caso, ransomware en uno de sus servidoresde operaciones.


</script>

https://www.justice.gov/usao-sdny/pr/nine-iranians-charged-conducting-massive-cyber-theft-campaign-behalf-islamic

15


En mayo de 2020, X-Force descubrió otro servidor mal configurado perteneciente a ITG18 que contenía más de 40 gigabytes de videos y archivos de datos. Los videos detallan las medidas y la tecnología utilizada por ITG18 para realizar sus operaciones de reconocimiento respecto a las cuentas en riesgo. Los videos también contienen metadatos sobre sus operaciones que inadvertidamente revelaron la infraestructura de VPN de ITG18, los números de teléfono del atacante y varios intentos fallidos de phishing contra objetivos gubernamentales de los EE. UU.

Figura 6

Cuenta de AOL para el entrenamiento de ITG18 El servidor mal configurado de ITG18 reveló el número de teléfono del maleante asociado a una cuenta de AOL usada para el entrenamiento (Fuente: IBM Security X-Force)

Los conocimientos adquiridos a partir de los errores operacionales de ambos grupos permitieron a los analistas de X-Force Threat Intelligence advertir a los objetivos de la actividad en curso, profundizar en las técnicas de capacitación y las metodologías de robo de contraseñas e identificar la infraestructura utilizada en tiempo real para actividades malintencionadas. Estos conocimientos, a su vez, nos han permitido proteger mejor y advertir a una amplia variedad de organizaciones que pueden ser víctimas.

Campañas de phishing de la COVID-19

Durante el curso de la investigación sobre la actividad cibernética relacionada con el coronavirus, X-Force descubrió varias campañas de phishing relacionadas con la COVID-19 destinadas a atacar la cadena de suministro para la lucha contra la COVID-19.

Ataques contra la cadena de frío para vacunas

En octubre de 2020, X-Force Threat Intelligence observó una oleada de e-mails de phishing dirigidos a individuos, organizaciones y entidades supranacionales que tenían un interés potencial en tecnologías asociadas a la distribución segura de una vacuna contra la COVID-19. La actividad revelada imita la Plataforma de Optimización de Equipos de Cadena de Frío (CCEOP) del Fondo de las Naciones Unidas para la Infancia (UNICEF) y de la Alianza Mundial para Vacunas e Inmunización (GAVI) utilizada para distribuir vacunas a nivel mundial. Si bien actualmente nadie se los ha adjudicado, los maleantes patrocinados por un estado nación posiblemente están detrás de estos ataques.

Ayuda

Información personal

Seguridad de cuenta

Seguridad de cuenta

Preferencias

Actividad reciente

Cómo iniciar sesión

La contraseña está activada

Números de teléfono

16


Esta fue una campaña de phishing bien calibrada, diseñada por un adversario que probablemente trataba de obtener conocimiento avanzado en procesos de transporte y distribución de una vacuna contra la COVID-19, a través de la recolección de credenciales. Los ataques se dirigieron a la Dirección General de Fiscalidad y Unión Aduanera de la Comisión Europea, así como a organizaciones de los sectores de energía, manufactura, creación de sitios web y soluciones de software y seguridad en internet. Estas son organizaciones mundiales con sede en Alemania, Italia, Corea del Sur, República Checa, la gran Europa y Taiwán.

Imagen 7

Phishing usado en la vacunación contra la COVID-19Ejemplo de e-mail de phishing usado en ataques a la cadena de frío de la vacuna contra la COVID-19(Fuente: IBM Security X-Force)

Ataques a la cadena de suministro de EPP

En mayo de 2020, X-Force Research descubrió que una corporación multinacional alemana estaba asociada con un grupo operativo del sector privado y gubernamental alemán para adquirir equipos de protección personal (EPP). Este descubrimiento representa una campaña de ataque de precisión que aprovecha la urgencia de obtener EPP indispensables.

Los maleantes detrás de esta campaña atacaron a más de 100 ejecutivos de alto rango en puestos gerenciales y de adquisiciones dentro de esta organización y de su ecosistema de terceros. En general, X-Force observó aproximadamente 40 organizaciones atacadas en esta campaña. Dada la extensa selección observada de esta cadena de suministro, es probable que otros miembros del grupo operativo podrían ser objetivos de interés en esta campaña maliciosa, lo que requiere una mayor vigilancia.

17


Campaña en Ucrania

Por separado, entre mediados de marzo y mediados de abril de 2020, X-Force descubrió archivos maliciosos .docx probablemente atribuidos a la actividad sospechosa de Hive0051 (alias Gamaredon). Esta nueva actividad parece ser consistente con el modelo establecido de operaciones de Hive0051, que se centra en el ataque a entidades con sede en Ucrania.

El contenido de los archivos de documentos maliciosos que descubrimos utiliza una mezcla de trampas con temáticas de la COVID-19 y geopolítica para suplantar entidades gubernamentales y organizaciones no gubernamentales de Ucrania. Probablemente el grupo estaba aprovechando los continuos desarrollos geopolíticos y las preocupaciones actuales en torno al brote de la COVID-19 para explotar a la población de Ucrania o a entidades con un interés significativo en los acontecimientos regionales.

17

https://attack.mitre.org/groups/G0047/

18

Las amenazas a la tecnología operativa (TO) tienen el potencial de producir efectos en el mundo real: derrames de productos químicos, fallos en maquinaria o incluso accidentes de vehículos de pasajeros. Por lo tanto, X-Force está dando prioridad a la investigación y el análisis de la tecnología operativa, utilizando nuestras propias fuentes de datos para ofrecer una visión única de las amenazas contra organizaciones que disponen de redes de tecnología operativa.

Para examinar los patrones de ataque contra la TO en 2020, los analistas de X-Force rastrearon incidentes en organizaciones de manufactura, petróleo y gas, transporte, servicios públicos, construcción y minería, las organizaciones que tenían el potencial de afectar a las redes de TO.

Ransomware

Los ataques de ransomware fueron la amenaza más frecuente para la TO, de acuerdo con los datos de X-Force Incident Response, en consonancia con las tendencias generales de ataque que observó X-Force en 2020. Los ataques de ransomware abarcaron el 33 % de todos los ataques contra la TO en 2020. Esta tendencia sugiere que a los atacantes puede parecerles que las organizaciones con redes de TO son particularmente atractivas para los ataques de ransomware. De los ataques de ransomware que observó X-Force contras las organizaciones de TO en 2020, EKANS, Nefilim, Medusa, PJX y Egregor fueron algunas de las principales cepas de ransomware.

Figura 8

Tipos de ataques contra la TO Desglose de porcentajes de tipos de ataque observados en 2020 contra organizaciones con TO (Fuente: IBM Security X-Force)


19

Troyanos de acceso remoto

Los troyanos de acceso remoto (RAT) fueron el segundo tipo más común de ataque contra la TO en 2020, lo que supone el 15 % de todos los ataques, según datos de X-Force Incident Response. Los RAT permiten a un maleante el acceso a un dispositivo y habilitan la vigilancia encubierta en ese dispositivo. Trickbot, Adwind, y jRAT son algunos de los RAT que X-Force Incident Response observó en redes conectadas a TO en 2020.

Amenazas internas

Los incidentes de amenazas internas representaron el 13 % de todos los incidentes relacionados con TO en 2020, de los cuales aproximadamente el 60 % implicaron personal interno malicioso y alrededor del 40 % implicaron negligencia, según los datos de X-Force. Los incidentes de personal interno malicioso observados por X-Force incluyeron empleados que establecieron conexiones a sitios web sospechosos relacionados con malware y empleados que potencialmente venden información confidencial de la empresa en sitios web de terceros.

Vulnerabilidades en sistemas de control industrialFigura 9

Vulnerabilidades de SCI, 2011-2020Número de vulnerabilidades divulgadas que atacaron a SCI, por año y total acumulado de los años 2011 a 2020 (Fuente: IBM Security X-Force)

El seguimiento de X-Force revela que las vulnerabilidades en las plataformas de SCI siguen aumentando, alcanzando un nuevo pico en 2020, tras una ligera disminución del año anterior. De hecho, X-Force observó un incremento interanual del 49 % en vulnerabilidades de SCI en 2020. Las vulnerabilidades de SCI son preocupantes, ya que aumentan el riesgo para los sistemas de tecnología operativa y tienen el potencial de producir efectos cinéticos destructivos.


https://us-cert.cisa.gov/ics/advisories

20

Los datos de Quad9 rastrean dominios maliciosos para alertar y proteger a los usuarios de la actividad de maleantes relacionada a esos dominios. En promedio, Quad9 bloquea 10 millones de solicitudes maliciosas de sistema de nombres de dominio (DNS) cada día, e IBM identifica los dominios maliciosos en un promedio de ocho días antes que otros proveedores de inteligencia de amenazas. X-Force es un socio de Quad9 , ayudando a las organizaciones a proteger las comunicaciones por internet a través de DNS confiables.

Al igual que en 2019, X-Force y Quad9 continuaron rastreando a las principales marcas suplantadas utilizadas en dominios maliciosos en 2020. Estas son las marcas que los maleantes intentan imitar, aprovechándose de su popularidad y de la confianza de los usuarios para engañar a las víctimas para que abran un e-mail, hagan clic en un enlace, o divulguen información confidencial que luego puede ser utilizada en un ataque.


20

https://www.quad9.net/

21


Figura 10

Las 10 principales marcas suplantadasDesglose de las 10 principales marcas suplantadas en spam en 2020, como porcentaje de las 10 marcas mostradas (Fuente: Quad9)

Las organizaciones de tecnología y de redes sociales siguen estando en la cima de la lista de marcas suplantadas, con Google, Dropbox y YouTube liderando en términos de porcentaje de marcas suplantadas en 2020. Google sigue siendo la principal marca suplantada, tras su porcentaje más alto en 2019. Adidas y PayPal también entraron en las 10 principales en 2020, junto con varias de las marcas más suplantadas el año anterior: Amazon, Apple, Microsoft y Facebook. La mayoría de las actividades de falsificación de Adidas se produjo en enero -sugiriendo que fueron ajenas a la pandemia, pero parecen haberse relacionado con los calzados deportivos Superstar y Yeezy. La entrada de PayPal en las 10 principales es más probable que se deba a ciberdelincuentes relacionados con las finanzas que tratan de robar credenciales o fondos.

Los maleantes probablemente tiendan hacia la falsificación de organizaciones de tecnología y de redes sociales debido a su popularidad y a las expectativas de los usuarios de acceder a estos activos digitalmente. Además, la falsificación de e-mail y plataformas asociadas al mismo, como Gmail de Google o Microsoft S365, es una técnica común a la que recurren los maleantes, a juzgar por los datos de X-Force Incident Response. Estas marcas son también fácilmente monetizadas por los atacantes, ya que las cuentas en peligro asociadas con estas plataformas populares pueden ser fácilmente vendidas en la dark web para obtener beneficios.

22

A medida que los maleantes continúan ajustando, evolucionando, y transformando malware, varias tendencias de desarrollo de malware surgen de los datos. Por encima de todas las demás, la proliferación de malware dirigido a Linux fue la tendencia dominante de 2020, seguido de cerca por un aumento del malware desarrollado con el lenguaje de programación Go. Un dramático aumento del malware Emotet en otoño de 2020 demostró un resurgimiento de las amenazas de esta cepa. Cada una de estas tendencias apunta a un objetivo final de los maleantes: eludir más eficazmente las técnicas de detección.

El año de la amenaza de Linux

Los investigadores de Intezer-una empresa de comparación de código de malware que colabora con IBM Security- observaron un mayor esfuerzo por parte de los atacantes para invertir en criptomineros y troyanos, probablemente en un intento de adaptarse para atacar a las más modernas infraestructuras como la nube, donde Linux ya ejecuta el 90 % de la carga de trabajo y cuya adopción se ha acelerado aún más debido a los efectos de la COVID-19.

En 2020, los atacantes se centraron más en su esfuerzo de desarrollo de criptomineros y ransomware para Linux, probablemente debido a que más organizaciones están cambiando sus servidores a la nube y a la potencia de procesamiento expandible que proporcionan los entornos de nube. El gráfico de la figura 11 muestra el porcentaje promedio de código nuevo utilizado para desarrollar distintos tipos de malware de Linux en 2020.

Figura 11

Nivel de innovación de código nuevo de malware de LinuxPorcentaje promedio de código nuevo utilizado para desarrollar malware de Linux, por tipo de malware, 2020 (Fuente: Intezer)


https://www.intezer.com/

23


Desde 2010, Intezer ha observado un aumento en nuevas familias de malware de Linux, siendo que en 2020 se registró el número más elevado hasta ahora, con 56 %, un incremento interanual del 40 % desde 2019. Hay una clara tendencia que resalta el aumento de familias de malware entrando en el panorama de amenazas en Linux.

Figura 12

Nuevas familias de malware para Linux 2010-2020 Número de nuevas familias de malware de Linux por año (Fuente: Intezer)

Los expertos en ingeniería inversa de malware de X-Force asimismo observaron un incremento en malware de Linux en 2020 empleados en incidentes de IBM Security X-Force. Cerca del comienzo de 2020, múltiples atacantes que estaban explotando la vulnerabilidad de path traversal (CVE-2019-19871) también estaban desarrollando el malware para dispositivos vulnerables NetScaler, como el malware NotRobin. Hacia el segundo semestre de 2020, los ingenieros de malware observaron varias indicaciones de que los maleantes que anteriormente se habían centrado en el malware de Windows ahora estaban incluyendo malware de Linux en su arsenal.

Por ejemplo, IBM Security X-Force observó variantes de ransomware para Linux durante interacciones de respuesta a incidentes que anteriormente solo se habían visto dirigidos a sistemas Windows. Estos incluyen una variante para Linux del ransomware Defray911/RansomEXX y una variante para Linux del ransomware SFile.

24


Nuevo lenguaje ‘Go-to’

A lo largo de 2020, los expertos que realizan ingeniería inversa de malware de X-Force han observado que cada vez más los maleantes usan el lenguaje de programación Go (abreviatura de Golang) para crear nuevo malware. El lenguaje de programación Go es un lenguaje de código abierto similar a C, diseñado para mejorar la productividad de la programación y que fue lanzado en 2012.

A lo largo de 2020, el malware escrito en Go aumentó un 500 % desde enero hasta su pico en junio y continuó utilizándose frecuentemente hasta el final del año, subrayando la creciente popularidad de este lenguaje de programación para los maleantes. En cambio, observamos muy pocas muestras de malware escrito en Go en 2019. Observamos que Go fue frecuentemente utilizado en 2020 para ransomware, y parece ser popular entre maleantes que atacan redes de TO, además de ser utilizado por múltiples maleantes con una amplia variedad de víctimas.

Los atacantes escriben en Go porque es muy fácil de implementar en varios sistemas. En lugar de escribir malware independiente para Linux, Windows u OS X, Go permite a los atacantes escribir el malware una vez y, a continuación, compilar el mismo código fuente para una amplia variedad de plataformas. Esto se traduce en un malware que se puede ejecutar en diferentes sistemas operativos.

Los binarios de Go también ayudan a evitar la detección mediante la creación de un "paquete" único. A diferencia del malware desarrollado en otros lenguajes, el malware basado en Go puede vincular estáticamente todas sus bibliotecas dentro del código. Esto significa que el malware puede operar de forma independiente, sin necesidad de ningún otro tipo de instalador o transferencia local, haciendo más fácil evadir la detección antivirus. Sin embargo, la misma característica también provoca un binario grande, que podría impedir que el malware Go sea utilizado como un anexo de phishing.

Intezer también ha observado que varios atacantes de APT están adoptando Go como el lenguaje de programación elegido para desarrollar malware multiplataforma para atacar los sistemas Windows y Linux:

— APT28 (ITG05): Un grupo de estado nación de Rusia. En diciembre de 2020, este grupo ha aprovechado aprovechado la pandemia de la COVID-19como una trampa de phishing para enviar la versión Go del malware Zebrocy

— APT29 (ITG11): Un grupo separado de estado nación de Rusia. Intezer Analyze pudo identificar una variante de WellMail Linux porque comparte códigocon el COI en un informe del Reino Unido.

— Carbanak (ITG14 or FIN7): Grupo de ciberdelincuentes grande. Una muestra de Linux comparte código con una muestra de Carbanak Windows desde 2019, que es como fue identificado por Intezer.

https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/

https://analyze.intezer.com/files/85e72976b9448295034a8d4c26462b8f1ebe1ca0a4e4b897c7f2404d0de948c2

https://media.defense.gov/2020/Jul/16/2002457639/-1/-1/0/NCSC_APT29_ADVISORY-QUAD-OFFICIAL-20200709-1810.PDF

25


Emotet regresa

Las trampas de spam y phishing de IBM rastrearon a Emotet estrechamente en 2020 y detectaron una pronunciada tregua en la actividad del malware en primavera y comienzos del verano. El malware reapareció en julio de 2020, sin embargo, estuvo muy activo a lo largo de septiembre y octubre, especialmente en Japón. Los operadores del malware Emotet probablemente se tomaron un descanso para mejorar los elementos de capacidades de evasión de detección de malware, con base en las observaciones de X-Force de las nuevas capacidades antianálisis.

Figura 13

Tendencia del spam Emotet, de junio a diciembre de 2020 Volumen de spam Emotet diario como un porcentaje del total de spam diario, de junio a diciembre de 2020Fuente: IBM Security X-Force)

Emotet está ampliamente diseminado a través de campañas de spam. Las trampas de spam de IBM observaron que todo el malware Emotet en 2020 se propagaba a través de archivos adjuntos de e-mail con macros maliciosas de Office Word. El malware también parecía aprovecharse de otras campañas de spam, como el spam de casino estándar o las campañas de sextorsión, reenviando estos mensajes de e-mail y, a continuación, adjuntando un payload malicioso. El malware Emotet también puede leer y responder a conversaciones legítimas de e-mail con archivos adjuntos infectados, con una apariencia de legitimidad. El análisis de IBM también ha revelado que la mayoría del spam Emotet se envía en días hábiles.

Los analistas de inteligencia de X-Force descubrieron nuevas características en muestras de malware Emotet, tales como capacidades de anti-análisis. Estas actualizaciones indican una inversión continua en Emotet por parte de los maleantes y que esta familia de malware probablemente seguirá planteando una amenaza para las organizaciones en todo el mundo.

https://exchange.xforce.ibmcloud.com/collection/Emotet-Botnet-Activity-Monitoring-dd69110f384eab5dd6d740a7a1b1aef2

26

El malware financiero en el ámbito del ciberdelito continúa planteando una amenaza para las organizaciones financieras y de otros tipos, ya que los maleantes siguen innovando y surgen nuevas amenazas. En 2020, IBM Trusteer observó a pandillas de ciberdelincuentes utilizar un proceso altamente automatizado para vaciar cuentas bancarias mediante el fraude en banca móvil y los ataques de superposición remotos se hicieron aún más comunes en 2020, particularmente en Europa.

Principales troyanos bancarios

Las principales familias de malware financiero de 2020 fueron los sospechosos habituales, sin sorpresas ni novedades durante el año. Eso no quiere decir que las bandas de ciberdelincuentes financieros existentes no evolucionaron ni agregaron formas de atacar y monetizar el crimeware a lo largo del año.

Figura 14

Las 10 principales familias de troyanos bancarios Desglose de los principales troyanos bancarios en 2020, mostrados como un porcentaje de los principales 10(Fuente: IBM Trusteer)

Ciberdelito financiero

27

Ciberdelito financiero

Destaques de los troyanos bancarios

1. Ramnit: Sube al número uno desde el segundo lugar del año pasado. Este malwarecontinúa siendo operado por una pandilla de ciberdelito cerrada, diversificando susmodelos de monetización y adaptándose a diferentes zonas geográficas de interés. Losataques siguen centrándose en las cuentas empresariales y personales.

2. Trickbot: A menudo se encuentra implementando el ransomware Ryuk, este malwarecayó desde el puesto número uno al número dos, muy probablemente comoconsecuencia del breve desmantelamiento en octubre de 2020. Este malware procedede Europa Oriental, y está dirigido a empresas, banca empresarial y grandescompañías.

3. Qakbot: En tercer lugar, este malware se propaga a las redes de la empresa medianteel botnet Emotet y en 2020 se ha destacado por los ataques con el ransomwareProLock como estrategia para monetizar aún más su posición establecida. Estemalware también procede de Europa Oriental y está dirigido a empresas, bancaempresarial y grandes compañías.

27

28

Cada zona geográfica e industria enfrenta un panorama de ataques específico, ya que diferentes maleantes, motivaciones, activos y acontecimientos geopolíticos conducen su actividad en cada región e industria. En esta sección se ofrece un desglose de las tendencias generales de ataque destacadas en este documento, discutiendo en mayor detalle cómo esas tendencias y otras afectan cada geografía e industria.

Impacto geográfico

Europa, América del Norte y Asia sufrieron la mayor parte de los ataques en 2020, atrayendo la actividad de maleantes probablemente debido al alto porcentaje de la riqueza del mundo que circula en estos continentes, es decir, más del 89 % del producto interno bruto (PIB) mundial. De estos tres, los ataques a las organizaciones europeas registraron el mayor crecimiento, impulsados por ataques de ransomware, internos y de acceso al servidor.

Figura 15

Desglose geográfico de los ataques, 2020 vs. 2019 Distribución geográfica del total de ataques en X-Force Incident Response, 2020 vs. 2019 (Fuente: IBM Security X-Force)

Tendencias geográficas y de la industria

29


Europa

— Volumen de ataque: IBM Security X-Force observó que el 31 % de los ataques en 2020 se produjeron en la región de Europa, lo que representa un incremento notable frente al 21 % en 2019 y hace que Europa pase a ser la parte del mundo más atacada en 2020.

— Tipos de ataque: : El ransomware fue el principal tipo de ataque en Europa el año 2020,constituyendo el 21 % de los ataques, un volumen significativo, sin embargo, inferior a la tasa de ataques de ransomware en contra de América del Norte. Europa ha sido, de lejos, el continente con más ataques internos en 2020, sufriendo el doble de ataques que tuvieron América del Norte y Asia combinadas. Europa también ha experimentado un alto volumen de ataques de acceso al servidor, el 14 % de todos los ataques en el continente en 2020. El robo de credenciales, los ataques a e-mails que comprometen a empresas (BEC), los troyanos de acceso remoto (RAT), el fraude y el DDoS afectaron también a organizaciones europeas en 2020 en menor medida. Europa experimentó el 33 % de todos los ataques que explotan CVE-2019-19781 en todo el mundo en 2020 y este porcentaje fue superior al de cualquier otra región.

— Países bajo ataque: Reino Unido, Suiza, Francia e Italia fueron los países más atacados en Europa en 2020.

Figura 16

Tipos de ataque en Europa Desglose del total de ataques en Europa por tipo de ataque, de acuerdo con datos de X-Force Incident Response, 2020 (Fuente: IBM Security X-Force)

30


Norteamérica

— Volumen de ataque: América del Norte experimentó un 27 % de todos los ataques remediados por X-Force en 2020, cayendo hasta el segundo lugar más atacado en todo el mundo. Esta caída contrasta con el 2019, cuando la región sufrió el 44 % de todos los ataques. Una mayor tasa de ataques en Europa y Asia fueron los factores más importantes que contribuyeron a este cambio.

— Tipos de ataque: América del Norte experimentó más ataques de ransomware que cualquier otra región en cifras absolutas - traduciéndose al 33 % de todos los ataques en América del Norte en 2020. El BEC, el robo de datos y la filtración de datos, así como los RAT también golpearon a organizaciones norteamericanas en grandes volúmenes a lo largo de 2020. América del Norte experimentó también un 29 % de los ataques que explotaron CVE-2019-19781 en 2020, ocupando el segundo lugar más alto después de Europa.

— Países bajo ataque: Estados Unidos fue el país norteamericano más atacado en 2020,seguido por Canadá.

Figura 17

Tipo de ataques en América del NorteDesglose del total de ataques en América del Norte por tipo de ataque, de acuerdo con datos de X-Force Incident Response, 2020Fuente: IBM Security X-Force)

31


Asia-Pacífico

— Volumen de ataque: La región de Asia-Pacífico sufrió el 25 % de todos los ataques observados por IBM Security X-Force en 2020, frente al 22 % observado en la región en 2019.

— Tipos de ataque: El robo de datos fue el tipo de ataque más común en Asia en 2020, impulsado en gran medida por una ráfaga de ataques de robo de datos Emotet en el otoño de 2020, representando el 22 % de todos los ataques en la región y superando incluso al ransomware. Los ataques de ransomware representaron el 19 % de todos los ataques en Asia en 2020, incluyendo las cepas como PJX y Locky. Asia-Pacífico experimentó más ataques con RAT que cualquier otra región geográfica en el mundo, siendo que los troyanos de acceso remoto representaron el 9 % de todos los ataques en la región en 2020. Asia también experimentó un 21 % de todos los ataques que explotaron CVE-2019-19781 en 2020. Los ataques BEC fueron menos frecuentes en Asia que otros en 2020, posiblemente debido a la implementación de la autenticación multifactor. La manufactura y los servicios financieros y de seguros fueron los dos principales sectores atacados en el área Asia-Pacífico.

— Países bajo ataque: Japón fue el primer país más atacado en Asia en 2020, seguido de lejos por la India y Australia.

Figura 18

Tipos de ataques en Asia Desglose del total de ataques en Asia por tipo de ataque, datos provenientes de X-Force Incident Response, 2020 Fuente: IBM Security X-Force)

32


América Central y del Sur

— Volumen de ataque: Organizaciones en América Central y América del Sur experimentaron un 9 % del total de los ataques observados por IBM Security X-Force en 2020, frente al 5 % en 2019.

— Tipos de ataque: Los ataques BEC están empatados con ransomware como el tipo de ataque principal en América Central y América del Sur, ambos representaron el 19 % de los ataques en la región, seguidos de cerca por la mala configuración y el robo y filtración de datos. En particular, América Central y América del Sur experimentaron más incidentes de mala configuración que América del Norte o Europa. Los ataques de acceso al servidor, por otra parte, no afectaron a América Central y América del Sur en la misma medida que a otras regiones en 2020.

— Países bajo ataque: Brasil fue el país más atacado en América Central y América del Sur en 2020.

Figura 19

Tipos de ataques en América Central y América del Sur Desglose del total de ataques en América Central y del Sur por el tipo de ataque,de acuerdo con datos de X-Force Incident Response, 2020 (Fuente: IBM Security X-Force)

33


Oriente Medio y África

— Volumen de ataque: Las organizaciones en Oriente Medio y África experimentaronun 8 % de los ataques, según datos de X-Force en 2020, cifra levemente superior al 7 % del año anterior.

— Tipos de ataque: El robo y la fuga de datos fue, por mucho, el tipo de ataque más común en Oriente Medio y África en 2020, representando un significativo 29 % de los ataques en la región. El acceso al servidor, el robo de credenciales y el ransomware estuvieron todos empatados en el segundo lugar, con un 14 % de los ataques cada uno. Los RAT, la mala configuración y las amenazas internas también afectaron a las organizaciones en Oriente Medio y África en 2020.

— Países bajo ataque: Arabia Saudita, los Emiratos Árabes Unidos, Sudáfrica y Turquía fueron los principales países atacados en Oriente Medio y África en 2020.

Figura 20

Tipos de ataques en Oriente Medio y África Desglose del total de ataques en Oriente Medio y África por tipo de ataque, según datos provenientes de X-Force Incident Response, 2020 (Fuente: IBM Security X-Force)

34


Principales industrias atacadas

Cada año, X-Force identifica a las 10 industrias más atacadas y las clasifica de acuerdo con el porcentaje de ataques. Por quinto año consecutivo, la industria de seguros y finanzas fue la más atacada, subrayando el interés significativo que los maleantes tienen en estas organizaciones.

Varias otras industrias han cambiado significativamente de posición desde el año pasado (vea en la figura 21 el ranking comparativo de las 10 principales industrias en 2020 vs. 2019). La industria de manufactura, que fue clasificada como la octava más atacada en el informe de 2019, saltó al segundo lugar en 2020. Esto puede ser impulsado por los intereses que los maleantes tienen en atacar las infraestructuras con conexiones a la tecnología operativa. Del mismo modo, la industria energética pasó del noveno lugar en 2019 al tercer lugar en 2020, destacando aún más que los atacantes se enfocaron en organizaciones conectadas a TO en 2020. El sector del cuidado de la salud saltó desde el último lugar en 2019 al séptimo lugar en 2020, probablemente debido a los ataques relacionados con la COVID y a un aluvión de ataques de ransomware contra hospitales. Los ataques hacia el transporte continuaron disminuyendo en 2020, cayendo al noveno lugar, en comparación con el tercer lugar que ocuparon en 2019, posiblemente relacionados con la menor utilización de transporte durante la pandemia.

Figura 21

Las 10 principales industrias por volumen de ataque, 2020 vs. 2019 (Fuente: IBM Security X-Force)

Sector Rankingde 2020 Cambio

Finanzas y seguros 1 1 -

Fabricación 2 8 6

Energía 3 9 6

Minorista 4 2 -2

Servicios profesionales 5 5 -

Gobierno 6 6 -

Salud 7 10 3

Medios 8 4 -4

Transporte 9 3 -6

Educación 10 7 -3

Rankingde 2019

35


Figura 22

Desglose de los ataques en las 10 principales industrias Las industrias más atacadas en 2020, mostradas como un porcentaje de los ataques en las 10 principales industrias (Fuente: IBM Security)

El gráfico de la figura 22 muestra el porcentaje de ataques contra cada una de las 10 principales industrias, donde el 23 % de esos ataques fueron contra el sector de finanzas y seguros. La industria manufacturera fue afectada por el 17,7 % de los ataques en las 10 principales industrias, seguida por la industria de energía (11,1 %) y el comercio minorista (10,2 %), mientras que el resto de las 10 principales industrias fueron atacadas por debajo del 10 % de los ataques cada una.

36


Figura 23

Tipos de ataques en la industria Desglose del porcentaje de ataques a la industria por tipo, a partir de datos provenientes de X-Force Incident Response, 2020 (Fuente: IBM Security X-Force)

El gráfico de la figura 23 describe los ataques principales en cada industria a partir de datos procedentes de X-Force Incident Response. Estos datos y los porcentajes derivados se describen con mayor detalle en cada una de las secciones siguientes.

37

Finanzas y seguros

Desde 2016, el sector de finanzas y seguros ha sido calificado como el más atacado, una posición que mantuvo en 2020. Las instituciones financieras experimentaron un 23 % de todos los ataques que analizamos en 2020, un porcentaje superior al 17 % de los ataques que el sector experimentó en 2019.

De todas las industrias, la de finanzas y seguros experimentó el mayor número de ataques de acceso al servidor, principalmente relacionados con la vulnerabilidad CVE-2019-19781 de Citrix, en comparación con otras industrias. Los ataques de acceso al servidor conformaron el 28 % de todos los ataques a las finanzas y los seguros, y la industria vinculada con la manufactura obtuvo el mayor porcentaje de ataques que explotaron CVE-2019-19781, el 22 %.

Los ataques de acceso al servidor conformaron el 28 % de todos los ataques a las finanzas y los seguros, y la industria vinculada con la manufactura obtuvo el mayor porcentaje de ataques que explotaron CVE-2019-19781, el 22 %.

Además, el sector de finanzas y seguros sufrió menos ataques de ransomware en comparación con otras industrias, como la industria manufacturera, los servicios profesionales y el sector gubernamental. Solo el 10 % de los ataques a este sector en 2020 fueron de ransomware. Los atacantes de ransomware han descubierto probablemente que las organizaciones no financieras son más rentables para los ataques de ransomware, posiblemente debido a los fuertes controles de seguridad implementados en las organizaciones de finanzas y seguros, o porque los atacantes consideran que otras industrias, como la manufactura y los servicios profesionales, tienen una menor tolerancia al tiempo de inactividad relacionado con los ataques de ransomware.


El 28 %de los ataquesa finanzas y seguros en 2020 fueron ataques de acceso al servidor.

El 10 %de los ataques contra finanzas fueron ransomware.

38


Fabricación

La industria manufacturera fue la segunda industria más atacada en 2020, habiendo ocupado el octavo lugar en 2019, recibió el 17,7 % de todos los ataques en las 10 principales industrias, más del doble del 8,1 % de los ataques que sufrió el año pasado. El renovado interés de los maleantes por la manufactura -la industria también ocupó el segundo lugar en 2015 y el tercero en 2017- confirma su potencial como objetivo, especialmente de ataques de ransomware, BEC y de troyanos de acceso remoto.

El 21 % de los ataques a la fabricación en el año 2020 procedieron de ransomware - un porcentaje significativo que indica que a los maleantes les parece que la manufactura es un sector rentable para los ataques de ransomware. Y en cifras absolutas, la manufactura sufrió más ataques de ransomware que cualquier otro sector. Este sector es de baja tolerancia a los tiempos de inactividad -que a menudo alcanzan millones de dólares en pérdidas por cada hora de inactividad– lo que probablemente contribuya a su alta rentabilidad para los maleantes.

Además del ransomware, los BEC representaron el 17 % de los ataques a la fabricación en 2020, en números absolutos, más de cuatro veces la cantidad de ataques BEC que cualquier otra industria. A menudo las organizaciones manufactureras deben adquirir varias piezas de diferentes proveedores, creando múltiples vías para que los maleantes se inserten en conversaciones de e-mail y redirijan los fondos destinados a pagar para los suministros de fabricación. Muchos ataques al sector de fabricación parecen estar dirigidos a obtener dinero a través de la ingeniería social, en lugar de dirigirse a la tecnología operativa.

La manufactura también experimentó el 22 % de todos los ataques que explotaron CVE-2019-19781 en 2020, ocupando el primer lugar junto con el sector financiero y de seguros.

El 21 %de los ataques en contra de la manufactura fueron de ransomware.

Los ataques BEC sufridos por las empresas de manufactura son

4 veces más numerosos que los de cualquier otra industria.

39


Energía

Al recibir el 11,1 % de los ataques en las 10 principales industrias en 2020, la energía está clasificada como la tercera industria más atacada, en comparación con el noveno lugar que ocupó el año anterior. Los ataques de acceso al servidor en la industria de energía, especialmente los que explotan CVE-2019-19781, afectaron fuertemente a las organizaciones energéticas en 2020, y esta industria ocupó el cuarto lugar, después del cuidado de la salud, por el mayor número de ataques de este tipo.

El robo y la fuga de datos fue el primer tipo de ataque contra el sector de energía, que representó el 35 % de todos los ataques en este sector, subrayando la amenaza de malware de robo de información y ataques de phishing. Muchos de estos ataques fueron contra las empresas de petróleo y gas en particular.

Los ataques BEC, minería de moneda digital, ransomware, troyanos de acceso remoto y de acceso al servidor también afectaron a la industria de energía en 2020, pero no mucho más que a otros sectores. De hecho, los ataques de ransomware contra empresas de energía representaron solo el 6 % de todos los ataques contra la industria, una cifra considerablemente inferior a muchos de los otros sectores verticales más atacados.

El 35 %de los ataques a la industria de energía fueron intentos de robo y fuga de datos.

40


Minorista

La industria minorista fue la cuarta más atacada en 2020, frente al segundo lugar del año pasado, y recibió el 10,2 % de todos los ataques en las 10 principales industrias, una disminución en comparación con el 16 % del año pasado. Como un centro de pagos con tarjetas de crédito y otras transacciones financieras, el comercio minorista ha sido durante mucho tiempo el objetivo favorito de los maleantes.

El sector minorista experimentó más ataques de robo de credenciales que cualquier otro tipo, representando el 36 % de los ataques que sufrió en 2020 y superando, en números puros, a todos los demás sectores en ataques de robo de credenciales. La industria también sufrió ataques de ransomware en 2020, representando el 18 % del total de los ataques en el sector minorista. Casi todos estos ataques provienen de ataques de ransomware Sodinokibi, según los datos de X-Force Incident Response.

En menor medida, los ataques DDoS, el fraude, la mala configuración, los RAT y los ataques de acceso al servidor también afectaron a la industria minorista, indicando que los maleantes están utilizando una amplia gama de tipos de ataques para infiltrarse en las organizaciones minoristas para obtener beneficios financieros.

El 36 %de los ataques contra el sector minorista fueron de robo de credenciales.

de los ataques contra el sector minorista fueron de ransomware.

El 18 %

41


Servicios profesionales

Los servicios profesionales fueron clasificados como el quinto sector más atacado en 2020 y recibieron el 8,7 % de todos los ataques en las 10 principales industrias, manteniendo la misma posición que en 2019, cuando obtuvieron el 10 % de todos los ataques. Las organizaciones de servicios profesionales son particularmente atractivas para los atacantes debido al medio que proporcionan para atacar a más víctimas.

El ransomware compuso el 35 % de los incidentes en las empresas de servicios profesionales en 2020, el mayor porcentaje de todas las industrias y, en términos de números brutos de ataques de ransomware, el sector de servicios profesionales quedó en segundo lugar, solamente después del sector de fabricación. Algunos atacantes de ransomware en 2020, como Sodinokibi, persiguieron a las empresas de servicios profesionales de forma agresiva en 2020, incluyendo los despachos de abogados. Los datos confidenciales que estas empresas tienen sobre sus clientes y, en algunos casos, clientes que son celebridades, posiblemente llevan a los maleantes a creer que estas empresas tendrían más posibilidades de pagar un rescate para evitar la fuga de datos confidenciales. Los datos de un despacho de abogados fueron puestos en subasta por USD 40 millones, destacando el alto precio que los maleantes de ransomware piensan que pueden obtener a cambio de los datos de empresas de servicios profesionales.

Además de los ataques de ransomware, los robos de datos y los ataques de acceso al servidor perjudicaron a los servicios profesionales duramente en 2020, representando cada uno de ellos el 13 % de los ataques en la industria. Estas tendencias sugieren que la explotación de vulnerabilidades y los ataques de inyección en las empresas de servicios profesionales son comunes, ya que los maleantes buscan acceso a los datos confidenciales.

Los troyanos de acceso remoto son el tercer tipo de ataque más común contra los servicios profesionales, representando el 9 % de los ataques a la industria.

El 35 %de los ataques a servicios profesionales en 2020 fueron de tipo ransomware, un porcentaje mayor que en cualquier otra industria.

El 13 %de los ataques contra los servicios profesionales fueron robo de datos y otro 13 % fueron de acceso al servidor.

42


Gobierno

El sector público, incluyendo la defensa, la administración pública y los servicios prestados por el gobierno, fue el sexto sector más atacado en el ranking de 2020, recibiendo el 7,9 % de todos los ataques en las 10 principales industrias atacadas. Esto coloca al gobierno en el mismo lugar que en el ranking de 2019, cuando recibió el 8 % de los ataques en las 10 principales industrias. Según los datos de IBM Security X-Force Incident Response, parece que los ataques de ransomware fueron los que más afectaron las organizaciones gubernamentales en 2020, seguidos de cerca por el robo de datos.

El 33 % de los ataques a organizaciones gubernamentales en 2020 fueron ataques de ransomware, es decir, este sector fue el segundo más atacado solo después de los servicios profesionales. Esto sigue siendo una tendencia en curso de ataques de ransomware contra ubicaciones del gobierno, pero en 2020, X-Force Incident Response observó que también el gobierno de los sistemas judiciales y entidades de transporte del gobierno estuvieron en la mira del ransomware. Casi el 50 % de los ataques de ransomware que observó X-Force en entidades del gobierno en 2020, fueron de maleantes que emplearon Sodinokibi, siguiendo una tendencia que el grupo comenzó en septiembre de 2019, con un aluvión de ataques de ransomware contra 23 municipios de Texas. .

El segundo tipo más común de ataques contra organizaciones gubernamentales fue el robo y la fuga de datos, destacando la amenaza del robo de datos y del espionaje para las entidades gubernamentales. Los ataques de robo y fuga de datos representaron hasta el 25 % de los ataques contra el gobierno en 2020. Los gobiernos extranjeros, los ciberdelincuentes e incluso los hacktivistas han demostrado un interés en robar datos de organizaciones gubernamentales.

En menor medida, los ataques BEC también afectaron al gobierno en 2020, constituyendo el 9 % de todos los ataques a este sector, el cuarto mayor porcentaje de ataques BEC a las industrias que hemos examinado. La implementación más sólida de las tecnologías de autenticación multifactor tiene el potencial de disminuir este porcentaje en el futuro.

El 33 %de los ataques contra el gobierno fueron de ransomware, el segundo porcentaje más alto de todas las industrias.

El 25 %de los ataques contra el gobierno fueron intentos de robo y fuga de datos.

https://www.texastribune.org/2019/08/19/twenty-three-Texas-cities-targeted-in-coordinated-ransomware-attack/

https://www.texastribune.org/2019/08/19/twenty-three-Texas-cities-targeted-in-coordinated-ransomware-attack/

43


Salud

En 2020, el cuidado de la salud se ubicó como el séptimo sector más atacado, recibiendo el 6,6 % de todos los ataques en las 10 principales industrias, saliendo del décimo lugar y del 3 % de los ataques en 2019. Este es un salto considerable y refleja la fuerte focalización que el cuidado de la salud recibió durante la pandemia de la COVID-19 en 2020, desde los ataques de ransomware hasta las amenazas dirigidas a las investigaciones y tratamientos contra la COVID.

Casi el 28 % de los ataques contra el cuidado de la salud en 2020 fueron de ransomware. Los ataques de ransomware contra el cuidado de la salud pueden ser particularmente devastadores, tristemente ilustrados por un ataque de ransomware a un hospital alemán en septiembre de 2020, que obligó a una ambulancia a trasladar a una paciente a un hospital diferente a 20 millas de distancia, tras lo cual la paciente murió. Aunque las autoridades alemanas determinaron que el ataque de ransomware no desempeñó un papel decisivo en ese fallecimiento, en el futuro, dichos ataques podrían conducir directamente a la muerte.

Cuando los investigadores de seguridad se percataron de los planes de los ciberdelincuentes Ryuk para atacar a más de 400 hospitales estadounidenses a finales de octubre,la seguridad pública estadounidense y varias empresas de seguridad,including IBM Security X-Force, se apresuraron a notificar a las víctimas potenciales e identificar medidas de mitigación. Afortunadamente, solo siete de potencialmente más de 400 hospitales fueron afectados por Ryuk dentro de la semana siguiente.

Además del ransomware, la explotación de CVE-2019-19781 para acceder a redes del sector del cuidado de la salud fue común en 2020. De hecho, el cuidado de la salud fue el tercer sector más explotado a través de este CVE, representando el 17 % de dichos ataques en todas las industrias. Por lo menos en un caso relacionado con este CVE en una red de cuidado de la salud, los maleantes combinaron su actividad con PowerShell y Cobalt Strike para el movimiento lateral y ejecución de objetivos.

El 28 %de los ataques contra el cuidado de la salud fueron de ransomware.

El 17 %de los incidentes CVE-2019-19781 fueron dirigidos al cuidado de la salud.

https://securityintelligence.com/posts/german-task-force-for-covid-19-medical-equipment-targeted-in-ongoing-phishing-campaign/

https://www.wired.co.uk/article/ransomware-hospital-death-germany

https://krebsonsecurity.com/2020/10/fbi-dhs-hhs-warn-of-imminent-credible-ransomware-threat-against-u-s-hospitals/

https://community.ibm.com/community/user/security/events/event-description?CalendarEventKey=43a214c5-6e72-4dd4-8b0a-39a72cd96e5c&CommunityKey=96f617c5-4f90-4eb0-baec-2d0c4c22ab50&Home=%2Fcommunity%2Fuser%2Fhome

https://community.ibm.com/community/user/security/events/event-description?CalendarEventKey=43a214c5-6e72-4dd4-8b0a-39a72cd96e5c&CommunityKey=96f617c5-4f90-4eb0-baec-2d0c4c22ab50&Home=%2Fcommunity%2Fuser%2Fhome

44


Medios de comunicación e información

El sector de medios de comunicación e información llegó al octavo lugar más atacado en 2020, recibiendo el 5,7 % de todos los ataques en las 10 principales industrias, una disminución del cuarto lugar del año pasado, cuando recibió el 10 % de los ataques. Este sector incluye a los proveedores de telecomunicaciones y comunicaciones móviles, así como los medios de comunicación y redes sociales, que pueden desempeñar un papel crítico en los resultados políticos, especialmente durante los años de elecciones.

Los datos de X-Force identifican la mala configuración como el tipo de ataque más común en los medios en 2020, subrayando la importancia de la correcta configuración de las instancias de la nube para evitar la fuga de datos no deseada.

Los datos de Quad9 muestran que los medios de comunicación fueron la primera industria que los maleantes intentaron suplantar creando direcciones URL similares a las de los medios legítimos. Casi el 90 % de todos los casos de ocupación de DNS malicioso, es decir, cuando un nombre de dominio es engañosamente similar a un sitio web legítimo, implicaron a los medios de comunicación. Esta tendencia se deriva de las tendencias principales de falsificación de marcas observadas anteriormente en el presente informe y demuestra que los maleantes están tratando de capitalizar la popularidad y la confianza del consumidor en las organizaciones de medios de comunicación.

El 90 %de todos los DNS maliciosos atacaron a medios de comunicación, que son, por mucho, la mayor industria suplantada

45


Transporte

Al contrario de la manufactura, el transporte dio un salto significativo en los rankingsde IBM Security X-Force este año, pero hacia abajo, pasando al noveno lugar, partiendo del tercer lugar en 2019 y del segundo en 2018. El transporte experimentó el 5,1 % de todos los ataques en 2020, frente al 10 % en 2019.

Puede haber varias razones para este descenso en la focalización en 2020. Por ejemplo, la disminución en el uso del transporte en 2020 debido a la pandemia de la COVID-19 y las órdenes para permanecer en el hogar pueden haber reducido la rentabilidad de este sector para los maleantes, tanto los ciberdelincuentes que intentan capturar información financiera como los estados nación que espían a personas de interés. Además, los mayores y más eficaces controles de seguridad en la industria y el aprovechamiento de la inteligencia de amenazas pueden estar contribuyendo a la disminución de los ataques observados en este sector.

Los agentes internos maliciosos y las malas configuraciones tuvieron un impacto significativamente desproporcionado en el transporte en 2020, especialmente cuandose lo compara con otras industrias. Juntos, estos dos tipos de ataques representaroncasi el 25 % de los ataques en el transporte el año pasado.

La amenaza de los ataques internos contra el transporte es importante, sobre todo teniendo en cuenta que algunos de los más dañinos ciberataques, incluyendo aquellos que podrían conducir a la pérdida de vidas, se vuelven más factibles cuando un empleado está involucrado.

Los ataques de acceso al servidor y de ransomware representaron otro 26 % de los ataques en el transporte en 2020.

El 25 %de los ataques contra el transporteen 2020 involucraronun agente interno maliciosoo una malaconfiguración.

46


Educación

El sector educativo fue clasificado como el décimo sector más atacado en 2020, recibiendo el 4,0 % de todos los ataques de las 10 principales industrias. Esto desplaza a la educación hacia abajo en el ranking, después de haber ocupado la séptima posición del sector más atacado en 2019, cuando sufrió el 8 % de todos los ataques.

El spam y el adware fueron tipos de ataques comunes contra la educación en 2020, que en su conjunto representaron el 50 % de todos los ataques en el sector de la educación. Aproximadamente la mitad de éstas proceden de spam, un porcentaje mayor que cualquier otra industria, destacando la amenaza para las organizaciones educativas de los ataques relacionados con el phishing.

El sector de la educación también sufrió ataques de ransomware, según datos de X-Force, aunque no en una medida tan significativa como otras industrias. El ransomware representó el 10 % de los ataques a la educación en 2020. Los datos de brechas públicas indican que varias escuelas y universidades fueron atacadas con ransomware en 2020, y varias de estas optaron por pagar el rescate.

Los botnets, los fraudes y los RAT también contribuyeron a los ataques contra el sector de la educación. Las técnicas comunes de ataque de los ciberdelincuentes, el phishing y el malware básico parecieron ser frecuentes amenazas a organizaciones de educación en 2020.

El 50 %de los ataquesa la educaciónen 2020 fueron spam o adware.

El 10 %de los ataques fueron de ransomware.

47

En 2021, una mezcla de viejas y nuevas amenazas requerirá que los equipos de seguridad consideren una gran cantidad de riesgos de forma simultánea. Con base en el análisis de X-Force, estos son algunos de los puntos clave de las prioridades para el próximo año.— El volumen de riesgo seguirá creciendo en 2021. Con miles de nuevas vulnerabilidades

susceptibles de ser informadas en dispositivos y aplicaciones tanto antiguascomo nuevas.

— El doble de la extorsión para ransomware probablemente persistirá hasta 2021. El hecho de que atacantes realicen la fuga de datos públicamente en sitiosde denuncia y difamación aumentará la ventaja de los maleantes para pedir altos precios en sus ataques de ransomware.

— Los maleantes continuarán cambiando sus objetivos hacia diferentes vectores de ataque. Los ataques a sistemas Linux, a la tecnología operativa (TO), a los dispositivos IoTy a los entornos de nube continuarán. A medida que los ataques a estos sistemasy dispositivos se vuelven más avanzados, los maleantes podrán cambiar rápidamente sus esfuerzos, especialmente después de cualquier incidente de alto perfil.

— Cada industria tiene su cuota de riesgo. El cambio año tras año de focalización a sectoresespecíficos evidencia los riesgos para todos los sectores de la industria y la necesidadde avances significativos y consolidación en los programas de ciberseguridad de modo generalizado.

Mirando hacia el futuro

47

48

Con base en las conclusiones de IBM Security X-Force de este informe, mantenerse al día con la inteligencia de amenazas y construir una sólida capacidad de respuesta son excelentes maneras de ayudar a mitigar las amenazas en el cambiante panorama, independientemente de la industria o país donde se opere.

X-Force recomienda los siguientes pasos que las organizaciones pueden tomar paraprepararse mejor contra las amenazas cibernéticas en 2021:

Recomendaciones para resiliencia

Adelántese a las amenazas, en lugarde reaccionar a ellas. Aproveche la inteligencia de amenazas para comprender mejor las motivaciones y tácticas de los maleantes para priorizar los recursos de seguridad.

Cree y capacite a un equipo de respuesta a incidentes dentro de su organización. Si esono es una posibilidad, contrate un recurso eficaz de respuesta a incidentes para reaccionar rápidamente a los incidentes de alto impacto.

Protéjase contra las amenazas internas. Utilice soluciones de Prevención de Pérdida de Datos (DLP), formación y supervisión para prevenir que el personal interno, de manera accidental o maliciosa, cometa infracciones en su organización.

Tenga copias de seguridad, pruebe las copiasde seguridad y almacene las copias de seguridad offline. No solo asegurar la existencia de copiasde seguridad, sino también su eficacia a travésde pruebas en condiciones reales, marca una diferencia fundamental en la seguridad de la organización, especialmente debido a que los datos de 2020 muestran un resurgimiento de la actividad de ransomware.

La preparación es fundamental para una respuesta efectiva contra el ransomware. La planificación para un ataque de ransomware -incluyendo un plan que aborde una mezcla de técnicas de extorsión de ransomware y robo de datos- y el entrenamiento regular de este plan pueden hacer toda la diferencia en la forma en que su organización responde en el momento crítico.

Ponga a prueba el plan de respuesta a incidentes de su organización para desarrollar la memoria muscular. Los ejercicios de simulación o las experiencias de rango cibernético pueden proporcionar a su equipo una experiencia crítica para mejorar el tiempo de reacción, reducirel tiempo de inactividad y, en última instancia,ahorrar dinero en caso de infracción.

Revise muy bien la estructura de gestiónde reparaciones de la organización. Siendoel escaneo y explotación el vector de infección más común el año pasado, fortalezca su infraestructura y revitalice las detecciones internas para encontrar y detener los intentos de explotación automatizada de forma rápiday eficaz.

Implemente autenticación multifactor (MFA). Agregar capas de protección de cuentas sigue siendo una de las prioridades de seguridad más eficientes para las organizaciones.

49

IBM Security X-Force ofrece conocimiento, detección y capacidad de respuesta para ayudar a los clientes a mejorar su estrategia de seguridad. IBM Security X-Force Threat Intelligence combina telemetría de operaciones de seguridad de IBM, investigación, investigaciones de respuesta a incidentes, datos comerciales y fuentes abiertas para ayudar a los clientes a comprender las amenazas emergentes y tomar rápidamente decisiones de seguridad fundamentadas.

Además, el altamente entrenado equipo de X-Force Incident Response ofrece una reparación estratégica que ayuda a las organizaciones a lograr un mejor control sobre los incidentes y las brechas de seguridad.

X-Force, junto con las experiencias de rango cibernético de IBM Security Command Center, entrenan a los clientes para que estén listos para las realidades de las amenazas de hoy.

A lo largo de todo el año, los investigadores de IBM X-Force también proporcionan investigaciones y análisis continuos en forma de blogs, documentos técnicos, webinars y podcasts, destacando nuestro conocimiento de los maleantes que representan amenazas avanzadas, el nuevo malware y los nuevos métodos de ataque. Además, ofrecemos un amplio conjunto de análisis actuales y de vanguardia a los clientes suscritos en nuestra plataforma Premier Threat Intelligence.

Dé el próximo pasoObtenga información acerca de cómo orquestar la respuesta a incidentes con IBM Security

Acerca de IBM Security X-Force

https://www.ibm.com/security/services/ibm-x-force-incident-response-and-intelligence

https://www.ibm.com/security/services/threat-intelligence

https://www.ibm.com/security/services/incident-response-services

https://www.ibm.com/security/services/managed-security-services/security-operations-centers

https://www.trustar.co/ibm-trustar-datasheet

https://www.trustar.co/ibm-trustar-datasheet

https://www.ibm.com/security/incident-response

50

Producido en los Estados Unidos de Américaen febrero de 2021.

IBM, el logotipo de IBM, ibm.com e ibm.com son marcas registradas de International Business Machines Corp., registradas en muchas jurisdicciones en todo el mundo. Otros nombres de productos y servicios pueden ser marcas registradas de IBM u otras compañías. Una lista actual de las marcas registradas de IBM está disponible en la web en "Información de copyright y marcas registradas" en ibm.com/legal/copytrade.shtml

Este documento está actualizado a partir de la fecha inicial de publicación y puede ser modificado por IBM en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM. Los ejemplos de cliente y datos de rendimiento mencionados fueron presentados solamente para propósitos ilustrativos. Resultados reales de rendimiento pueden variar dependiendo de configuraciones específicas y condiciones de operación.

LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONA "TAL CUAL", SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, Y SIN CUALQUIER GARANTÍA DE COMERCIABILIDAD, ADECUACIÓN PARA UN PROPÓSITO DETERMINADO O CONDICIÓN DE NO INFRACCIÓN.

Los productos de IBM están garantizados según los términos y condiciones de los acuerdos con los cuales se suministran. El cliente es responsable de asegurar la conformidad con las leyes y los reglamentos aplicables. IBM no proporciona asesoramiento jurídico ni afirma o garantiza que sus servicios o productos puedan asegurar que el cliente esté en conformidad con cualquier ley o reglamento. Declaraciones con relación a intenciones y a la dirección futura de IBM están sujetas a cambios o anulación sin previo aviso, y representan solamente metas y objetivos.

Acerca de IBM Security

IBM Security trabaja a su lado para ayudarle a proteger su negocio con un portafolio avanzado e integrado de productos y servicios de seguridad empresarial, infundido con IA y un enfoque moderno en su estrategia de seguridad utilizando principios de confianza cero, ayudándole a prosperar ante la incertidumbre. Mediante la alineación de su estrategia de seguridad con su negocio; la integración de soluciones diseñadas para proteger a sus usuarios, activos y datos digitales; y la implementación de la tecnología para gestionar sus defensas contra las crecientes amenazas, le ayudamos a gestionar y gobernar el riesgo que soportan los entornos de nube híbrida de hoy.

Nuestro nuevo enfoque abierto y moderno, la plataforma IBM Cloud Pak for Security, está construido sobre RedHat Open Shift y da soporte a los entornos de multinube híbrida actuales, con un amplio ecosistema de socios. Cloud Pak for Security es una solución de software contenedorizado lista para la empresa, que le permite gestionar la seguridad de sus datos y aplicaciones -integrando rápidamente sus actuales herramientas de seguridad para generar una percepción más profunda de amenazas en entornos de nube híbrida- dejando sus datos donde están, permitiendo una fácil automatización y orquestación de su respuesta de seguridad.

Para obtener más información, consulte www.ibm.com/security, siga a @IBMSecurity en Twitter o visite IBM Security Intelligence blog.

ColaboradoresAutor principal: Camille Singleton

Colaboradores:Allison Wikoff Ari Eitan (Intezer) Charles DeBeck Charlotte Hammond Chenta Lee Chris Sperry Christopher Kiefer Claire Zaboeva

© Copyright IBM Corporation 2021

IBM CorporationNew Orchard RoadArmonk, NY 10504

David McMillen David Moulton Dirk Hartz Georgia Prassinos Ian Gallagher (Intezer) John Zorabedian Joshua Chung Kelly Kane

Lauren JensenLimor Kessem Mark Usher Martin Steigemann Matthew DeFir Megan Radogna Melissa Frydrych Michelle Alvarez

Mitch Mayne Nick Rossman Patty Cahill-Ingraham Randall Rossi Richard Emerson Salina Wuttke Scott Craig Scott Moore

http://www.ibm.com/security

https://twitter.com/IBMSecurity

https://securityintelligence.com/

X-Force Índice de inteligencia de amenazas

Documents

Transcript of X-Force Índice de inteligencia de amenazas